那些遇到过的问题

CORS - 如何在Apache的httpd.conf中忽略OPTIONS预检请求的身份验证?

use*_*087 8 apache ajax .htaccess cors

我是CORS的新手,并且已经了解到浏览器发送的OPTIONS预检请求会排除用户凭据.如何让过滤器(在httpd.conf中)以不同的方式响应OPTIONS请求,即绕过身份验证?

这是我目前的配置:

<LocationMatch /api>
SetEnvIfNoCase Origin "https://(www\.)?(domain1\.com|domain2\.com)(:\d+)?$" AccessControlAllowOrigin=$0
Header set Access-Control-Allow-Origin %{AccessControlAllowOrigin}e env=AccessControlAllowOrigin
Header set Access-Control-Allow-Credentials "true"
Header set Access-Control-Allow-Methods "GET,POST,DELETE,OPTIONS"
Header set Access-Control-Allow-Headers "Accept, Authorization, Origin, Content-Type"
AuthFormProvider ldap
AuthLDAPURL "ldap://localhost:10889/ou=Users,dc=work,dc=com?uid"
AuthLDAPGroupAttribute member
AuthLDAPGroupAttributeIsDN on
Require valid-user
ErrorDocument 401 /login.html
ErrorDocument 500 /error.html
AuthType form
AuthName realm
Session On
SessionMaxAge 1800
SessionDBDCookieName session path=/
ProxyPass  http://localhost:8080 timeout=31536000
AuthFormFakeBasicAuth On
</LocationMatch>
Run Code Online (Sandbox Code Playgroud)

以及发出请求的javascript:

$.ajax({
        type : "DELETE",
        url : "https://www.domain1.com/api",
        xhrFields: {
            withCredentials: true,
        },
        success : function(data){

        },
});
Run Code Online (Sandbox Code Playgroud)

我尝试了以下但没有运气:

(一个)

RewriteEngine On
RewriteCond %{REQUEST_METHOD} OPTIONS
RewriteRule ^(.*)$ $1 [R=200,L,E=HTTP_ORIGIN:%{HTTP:ORIGIN}]
Run Code Online (Sandbox Code Playgroud)

(b)中

<Limit OPTIONS>
Header always set Access-Control-Allow-Origin "*"
Header always set Access-Control-Allow-Credentials "false"
Header always set Access-Control-Allow-Headers "Accept, Authorization, Origin, Content-Type"
Header always set Access-Control-Allow-Methods "GET,POST,DELETE,OPTIONS,PUT"
</Limit>
Run Code Online (Sandbox Code Playgroud)

(C)

<Limit OPTIONS>
Allow for all
</Limit>
Run Code Online (Sandbox Code Playgroud)

(d)

SetEnvIfNoCase Request_Method OPTIONS allowed
Run Code Online (Sandbox Code Playgroud)

任何的想法 ?请帮忙 !

小智 6

我有同样的问题,我今天在这个问题的帮助下解决了这个问题.基本上你的选择c.

我的conf结构是: 

conf/httpd.conf <- normal stuff   
conf.d/ssl.conf <- set up ssl stuff  
conf.d/api.conf <- set specific stuff to api like Auth  
/var/www/.htaccess <- set specific stuff to api again
Run Code Online (Sandbox Code Playgroud)

这允许限制除OPTIONS之外的所有内容

/conf.d/api.conf 文件: 

<Directory "/var/www/api">
  AllowOverride All
  Options FollowSymLinks

  <LimitExcept OPTIONS>
    Auth stuff here
    Mainly your Require statements
  </LimitExcept>
</Directory>
Run Code Online (Sandbox Code Playgroud)

然后在我的.htaccess文件中设置标题.

require指令中的Apache手册指出"以这种方式应用的访问控制对所有方法都有效.这是通常所希望的.如果您希望仅对特定方法应用访问控制,同时保留其他方法不受保护,则放置将Require语句放入<Limit>[或<LimitExcept>]部分."

我必须确保我的应用程序可以处理OPTIONS,因为此设置没有自动返回.在这里这里可以看到如何重定向哪个可能有效,而不是在应用程序中有东西处理它.

归档时间:

查看次数:

2984 次

最近记录:

10 年,5 月 前
相关归档
如何将查询字符串变量与mod_rewrite匹配? 46
基于在线的Apache Web日志分析器通过提交原始日志文件 40
Jquery ajaxStart没有被触发 14
将js对象作为json传递给jquery? 12
如何301使用或不使用尾部斜杠重定向? 9
如何设置服务器的完全限定域名? 7
javascript表单验证中的辅助功能 6
如何在服务器上使用Ajax发送没有表单的文件数据? 5
什么是角度中的jQuery.when() 5
Ajax将null Json对象发布到mvc 4控制器 4
难疑归档
在JavaScript中创建GUID/UUID? 3915
使用Git将我的最后一次X提交压缩在一起 3294
不区分大小写'包含(字符串)' 2785
什么是非捕获组?(?:)做什么? 1653
正确使用IDisposable接口 1586
如何将NodeJS和NPM更新到下一个版本? 1573
将浮点数限制为两个小数点 1527
如何比较两个不同分支的文件? 1430
JavaScript中是否有"null coalescing"运算符? 1305
活动已泄露最初添加的窗口 1117